Depuis quelques années, les escroqueries dites au « faux conseiller bancaire » (ou spoofing) se multiplient.

Le principe est toujours le même : un fraudeur contacte un client en se faisant passer pour un employé de sa banque, souvent à partir d’un numéro de téléphone usurpé identique à celui de l’établissement bancaire. Placé en situation d’urgence par le fraudeur qui prétend constater plusieurs opérations frauduleuses en cours sur le compte bancaire de sa victime, cette dernière est incitée à procéder à diverses manipulations, pensant mettre sa trésorerie à l’abri, mais permettant en réalité au fraudeur de vider son compte bancaire, souvent via l’application bancaire sécurisée de la victime.

Ces dossiers donnent lieu à un contentieux croissant devant les tribunaux.

La décision très récente du Tribunal judiciaire de Poitiers le 29 août 2025 (TJ Poitiers, 29 août 2025, n° 25/00129 [1]) illustre parfaitement cette problématique et apporte un éclairage utile aux victimes.

 

Dans cette affaire, Mme X., cliente de la Banque Populaire Val de France, a reçu le 18 décembre 2023 un appel affichant le numéro du service « perte et vol » de sa banque. L’interlocuteur, se présentant comme conseiller, lui a alors indiqué que des opérations frauduleuses étaient en cours de l’étranger sur son compte bancaire, et lui a demandé de réaliser en urgence des manipulations sur son application bancaire en ligne pour les bloquer.

Sous cette pression, Mme X. a validé, via son dispositif Secur’Pass, un paiement de 4.579,93 € au profit d’Airbnb.

Elle s’est finalement rendu compte après coup qu’il s’agissait d’une escroquerie.

Après avoir contesté l’opération, puis saisi la médiatrice bancaire, la victime n’a obtenu aucun remboursement.

Elle a donc assigné son établissement bancaire.

La banque a opposé deux arguments principaux :
1. L’authentification forte : la cliente ayant validé l’opération via Secur’Pass, la transaction est considérée comme « dûment authentifiée » au sens du Code monétaire et financier.
2. La négligence grave : selon la banque, Mme X. aurait dû comprendre qu’un conseiller bancaire ne demande jamais de transférer des fonds pour les sécuriser et aurait donc manqué de vigilance.

La banque en concluait qu’elle n’était pas tenue de rembourser sa cliente.

Pour mémoire, la jurisprudence [2] rappelle que la simple utilisation du dispositif d’authentification ne suffit pas à démontrer la négligence du client.

La Cour de cassation, rappelons-le, a également décidé à plusieurs reprises, dans ses arrêts du 23 octobre 2024 et du 12 juin 2025, que la victime de ce type de fraude particulièrement rôdée, ne peut se voir imputer de « négligence grave » mais tout au plus, d’imprudence, ou de négligence simple.

C’est sur cette jurisprudence que s’est appuyé le tribunal pour rendre sa décision.

Le Tribunal judiciaire de Poitiers a reconnu que l’opération avait bien été validée via Secur’Pass (preuve apportée par la banque), mais a déclaré toutefois que la cliente avait été victime d’un spoofing sophistiqué, le fraudeur ayant usurpé le numéro officiel de la banque, l’ayant poussée dans une situation d’urgence et de stress, et ayant mis en scène un discours crédible.

La juridiction a notamment souligné :

  • que la cliente ne disposait plus d’un conseiller attitré, ce qui la rendait plus vulnérable.
  • que la banque n’apportait pas la preuve d’une communication régulière auprès de ses clients sur le risque spécifique du spoofing à cette époque.
  • que, dans ces conditions, il était déterminant que l’appel provenait d’un numéro réellement rattaché à la banque.

En conséquence, le tribunal a jugé que la banque échouait à démontrer la négligence grave du client.

Le tribunal a donc condamné la Banque Populaire Val de France à rembourser Mme X. de 4.579,93 €, avec intérêts légaux majorés (jusqu’à +15 points au-delà du délai légal) représentant déjà 1.483,31 € et alloué à Mme X. 3.000 € au titre de l’article 700 CPC, outre la prise en charge des dépens de la procédure par la banque.

Cette décision illustre plusieurs enseignements essentiels :
1. La charge de la preuve repose sur la banque : ce n’est pas au client de démontrer qu’il n’a pas été négligent, mais bien à l’établissement de prouver la faute grave.
2. Le spoofing est pris au sérieux par les juges : l’usurpation du numéro officiel de la banque suffit à écarter la négligence grave.
3. La vigilance du client s’apprécie « in concreto » : le juge tient compte du contexte (stress, absence de conseiller attitré, absence de communication préventive).
4. Le préjudice moral reste difficile à obtenir : il faut démontrer une faute distincte de la simple fraude et un abus manifeste de la banque dans son refus de rembourser.

A cet égard, le tribunal a rejeté la demande de dommages et intérêts de la victime.

Le jugement du Tribunal judiciaire de Poitiers du 29 août 2025 s’inscrit dans une tendance jurisprudentielle protectrice des consommateurs victimes de fraudes bancaires sophistiquées.

Il rappelle que la notion de « négligence grave » doit être interprétée strictement et que les banques ne peuvent pas se retrancher derrière la validation technique de l’opération pour refuser tout remboursement.

Pour les particuliers, cette décision constitue un levier juridique important : en cas de spoofing, il est légitime de contester le refus de remboursement de la banque et, le cas échéant, de saisir le juge.

Virginie Audinot, Avocat
Barreau de Paris
Audinot Avocat
www.audinot-avocat.com

 

Notes de l'article:

[1https://www.doctrine.fr/d/TJ/Poitiers/2025/TJPA2E1013FDED17E57C669

[2] Notamment Cass. com., 18 janv. 2017, n° 15-18.102 et Cass. com., 12 nov. 2020, n° 19-12.112.